WithSecure araştırmacıları, DarkGate kötü amaçlı yazılımını kullanarak Vietnam dışında faaliyet gösteren aktif bir siber suçlu kümesine yapılan saldırıları izledi.
DarkGate, en az 2018’den beri saldırılarda kullanılan ve şu anda Hizmet Olarak Kötü Amaçlı Yazılım (MaaS) olarak siber suçluların kullanımına sunulan bir uzaktan erişim truva atıdır (RAT). Çok çeşitli bir kullanıcı tabanına ve çeşitli yeteneklere sahiptir. Bilgi çalma, kripto hırsızlığı ve fidye yazılımı kampanyalarında gözlemlenmiştir.
WithSecure araştırmacıları, Birleşik Krallık, ABD ve Hindistan’daki kuruluşlara yönelik çok sayıda enfeksiyon girişimini tespit ettikten sonra DarkGate ile ilgili araştırmalarına başladı.
Yem dosyaları, temalar, hedefleme ve dağıtım yöntemleri gibi teknik olmayan göstergelere dayanarak araştırmacılar, WithSecure araştırmacılarının yaklaşık olarak geçen yıl izlediği Ducktail bilgi hırsızını kullanarak bu saldırı girişimlerini aynı tehdit aktörlerine bağlamayı başardılar. yarım.
“Gözlemlediğimiz DarkGate saldırılarının çok güçlü tanımlayıcıları var; bu tanımlayıcılar, bu saldırılar ile Ducktail dahil farklı bilgi hırsızları ve kötü amaçlı yazılımlar kullanarak gördüğümüz diğer saldırılar arasında bağlantı kurmamıza olanak sağladı. WithSecure Kıdemli Tehdit İstihbaratı Analisti Stephen Robinson, “Gözlemlediklerimize dayanarak, takip ettiğimiz ve Meta Business hesaplarını hedef alan birçok kampanyanın arkasında tek bir aktörün olması çok muhtemel” dedi.
Aynı tehdit aktörleriyle bağlantılı diğer kötü amaçlı yazılım araştırmacıları arasında Ducktail, Lobshot ve Redline Stealer yer alıyor.
Grubun farklı kampanyaları tarafından kullanılan yemler ve kötü amaçlı dosyalar aşağıdaki tanımlanabilir meta verilere sahiptir:
- LNK Sürücü Kimliği
- Canva PDF tasarım hizmeti hesap ayrıntıları
- MSI dosyası meta verileri
Robinson’a göre, farklı tehdit aktörleri tarafından satın alınabilen siber suç hizmetlerinin artması, saldırılarda kullanılan belirli araçların artık savunuculara rakiplerinin kim olduğunu söyleyemediği bir durum yarattı.
“DarkGate uzun zamandır ortalıkta dolaşıyor ve sadece Vietnam’daki bu grup veya küme değil, birçok grup tarafından farklı amaçlarla kullanılıyor. Bunun diğer tarafı ise aktörlerin aynı kampanya için birden fazla araç kullanabilmesi ve bu da etkinliklerinin gerçek boyutunun tamamen kötü amaçlı yazılım tabanlı analizlerden gizlenebilmesidir.”